OpenLdap操作指南資料

OpenLdap使用手冊

一、文檔概述......................................................2

二、LDAP簡介.....................................................3

2.1LDAP簡介...............................................3

2.2LDAP優(yōu)劣...............................................3

2.3LDAP協(xié)議...............................................4

2.4LDAP月艮務(wù)器.............................................5

2.5LDAP使用權(quán)限............................................5

2.6LDAP目的...............................................5

三、安裝配置......................................................6

3.1軟件安裝...............................................6

3.2軟件配置...............................................6

3.3軟件運行...............................................7

3.4初始數(shù)據(jù)...............................................8

四、LDAP應(yīng)用.....................................................1()

4.1LDAP常用屬性..............................................10

4.2LDAPSchema語法..........................................11

五、LDAP客戶端..................................................11

5.1增長目錄屬性..............................................12

5.2刪除目錄屬性..............................................13

5.3修改目錄屬性..............................................13

5.4增長目錄..................................................14

5.5修改目錄..................................................14

5.6刪除目錄..................................................15

六、應(yīng)用舉例.....................................................16

附錄：............................................................17

X.500...................................................................................................................17

一、文檔概述

本文從簡介Idap入手，講述了Idap口勺使用場所，并深入的指導(dǎo)顧客進行

openldap安裝與配置。是新手入門W、J一種教程。

二、LDAP簡介

2.1LDAP簡介

LDAP歐J英文全稱是LightweightDirectoryAccessProtocol，它是基于

X.500原則日勺，不過簡樸多了并且可以根據(jù)需要定制。與X.500不一樣，LDAP

支持TCP/IP,這對訪問Internet是必須日勺。LDAP日勺關(guān)鍵規(guī)范在RFC中均有定

義，所有與LDAP有關(guān)的RFC都可以在LDAPmanRFC網(wǎng)頁中找到。LDAP目

錄中可以存儲多種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)

據(jù)、公用密匙、聯(lián)絡(luò)人列表，等等。通過把LDAP目錄作為系統(tǒng)集成中H勺一種

重要環(huán)節(jié)，可以簡化員工在企業(yè)內(nèi)部查詢信息日勺環(huán)節(jié)，甚至連重要的數(shù)據(jù)源都

可以放在任何地方。

2.2LDAP優(yōu)劣

目錄服務(wù)口勺數(shù)據(jù)類型重要是字符型，為了檢索的需要添加了BIN（二進

制數(shù)據(jù)）、CIS（忽視大小寫）、CES（大小寫敏感）、TEL（型）等語法

（Syntax）,而不是關(guān)系數(shù)據(jù)庫提供H勺整數(shù)、浮點數(shù)、日期、貨幣等類型，同

樣也不提供象關(guān)系數(shù)據(jù)庫中普遍包括rJ大量W、J函數(shù)，它重要面向數(shù)據(jù)的查詢服

務(wù)（查詢和修改操作比一般是不小于10:1）,不提供事務(wù)的I回滾（rollback）機

制，它的數(shù)據(jù)修改使用簡樸的鎖定機制實現(xiàn)All.or.Nothing,它日勺目日勺是迅速響

應(yīng)和大容量查詢并且提供多目錄服務(wù)器口勺信息復(fù)制功能。

2.4LDAP服務(wù)器

LDAP服務(wù)器可以用“推”或“拉呻勺措施復(fù)制部分或所有數(shù)據(jù)，例如：可以

把數(shù)據(jù)“推”到遠程日勺辦公室，以增長數(shù)據(jù)日勺安全性。復(fù)制技術(shù)是內(nèi)置在LDAP

服務(wù)器中的并且很輕易配置。假如要在DBMS中使用相似R勺復(fù)制功能，數(shù)據(jù)庫

產(chǎn)商就會要你支付額外出J費用，并且也很難管理。

2.5LDAP使用權(quán)限

LDAP容許你根據(jù)需要使用ACI(一般都稱為ACL或者訪問控制列表)

控制對數(shù)據(jù)讀和寫出J權(quán)限。例如，設(shè)備管理員可以有權(quán)變化員工的工作地點和

辦公室號碼，不過不容許變化記錄中其他的域。ACI可以根據(jù)誰訪問數(shù)據(jù)、訪

問什么數(shù)據(jù)、數(shù)據(jù)存在什么地方以及其他對數(shù)據(jù)進行訪問控制。由于這些都是

由LDAP目錄服務(wù)器完畢的J,囚此不用緊張在客戶端的應(yīng)用程序上與否要進行

安全檢查。

2.6LDAP目的

1、需要在任何平臺上都能讀取數(shù)據(jù)

2、每一種單獨的記錄項很少變化

3、可以把數(shù)據(jù)存在平面數(shù)據(jù)庫(flatdatabase)而不是關(guān)系型數(shù)據(jù)庫中

4、假如可以把數(shù)據(jù)存在一張張W、J卡片里

三、安裝配置

3.1軟件安裝

下載:

1、下載openldap-for-windows。提供

2、下載jdkl.4或jdkl.5

3、下載LdapBrowser

安裝:

1、將openldap一步步安裝，在選擇數(shù)據(jù)庫類型方面使用默認(rèn)的BDB

2、將jdk進行安裝

3、LdapBrowser無需安裝，可直接使用

3.2軟件配置

1、修改安裝目錄下Kjsldap.conf文獻，可參照下面修改

suffixndc=my-domain,dc=com"

rootdnucn=Manager,dc=my-domain,dc=comn

把這兩行改為

suffix"dc=rootn

rootdn"cn=Manager,dc=root"

2、環(huán)境變量中配置path,將jdk/bin加入（Idap運行需要jdk）

3.3軟件運行

1、openldap安裝后可通過我的電腦”.，管理”一服務(wù)呻找到并啟動它，也可以

在cmd中執(zhí)行命令slapd-dl（要在安裝文獻目錄下）

2、運行LdapBrowser目錄中日勺lbe.bat文獻，將彈出連接界面

SessionListQuickConnect

ConnectCancel

Edit：修改Idap連接日勺服務(wù)器信息

Connect：連接至選擇口勺Id叩服務(wù)器

3.4初始數(shù)據(jù)

通過上面幾步處理后，顧客已經(jīng)可以連接上Ldap服務(wù)器，不過會顯示

Listfailed等錯誤信息，出現(xiàn)這個問題的原因，是ldap服務(wù)中還沒有創(chuàng)立初始

數(shù)據(jù)。也就是noentry的錯誤。因此需要手動編寫一種Idif文獻初始加載進去

O

首先在LDAP根目錄下創(chuàng)立一種空白文獻，命名為init.ldif,輸入如下信息：

dn:dc=root

objectClass:dcObject

objectClass:organization

o:feitian

dn:o=feitian,dc=root

objectClass:organization

o:feitian

description:thisisfeitiancompany

dn:o=ifd,o=feitian,dc=root

description:信息部

ohjectClass:organization

o:ifd

dn:cn=bingwang,o=ifd,o=feitian,dc=root

description:信息部員工王兵旺

objectClass:organizationalRole

telexNumber:370

cn:bingwang

sn:861

注意：文獻中各行最終一種字符后不能出現(xiàn)空格

配置文獻slapd.conf與初始文獻init.ldif闡明：

slapd.conf文獻中suffix（后綴定義）申明歐I是根DN信息，init.ldif目的）是為了

在根下面初始化至少一種數(shù)據(jù)目錄。通過LDAPBrowser界面導(dǎo)入進去，先選

中根目錄，再點[LDIF]-[Import],然后在新的彈出界面中選擇創(chuàng)立好的

initJdif文獻，確定后即可導(dǎo)入初始數(shù)據(jù)。

口dc=root

Plcn二Manager

9口o=feitian

9口o=ifd

Plcn:bingwang

本圖可以看出,cn=bingwang是最終一級，那么在

申明它之前，必須先依次申明了dc=root>o=feitian>o=ifd；樹形日勺構(gòu)造展示表

明了層次關(guān)系，因此在申明的時候也要體現(xiàn)出樹形構(gòu)造，如cn=bingwang中明

日勺完整dn為：cn=bingwang,o=ifd,o=feitian,dc=root,表達cn=bingwang日勺上級

是o=ifd,o=ifd的J上級是o二feitian,o=feitian的上級是de=root。

四、LDAP應(yīng)用

LDAP連接服務(wù)器日勺連接字串格式為：ldap:〃servername/DN

4.1LDAP常用屬性

DN：DistinguishedName,可以叫做條目辨別名。在一種目錄中這個名稱總是

唯一R勺，也是用來標(biāo)識一種節(jié)點的重要方式。它有若干屬性：

1、CN二CommonName為顧客名或服務(wù)器名，最長可以到80個字符，可認(rèn)為

中文；

2^OU=OrganizationUnit為組織單元，最多可以有四級，每級最長32個字

符，可認(rèn)為中文；

3^DC=DomainComponent為目錄構(gòu)造

4、O=Organization為組織名，可選，可以3—M個字符長

5、C=Country為國家名，可選，為2個字符長

4.2LDAPSchema語法

LDAP中，schema用來指定一種目錄中所包括日勺objects區(qū)I類型

(objectClass)以及每一種objectClass中的I各個必備(mandatory)和可選

(optional)的I屬性(attribute)o因此,Schema是一種數(shù)據(jù)模型，它被用來決

定數(shù)據(jù)怎樣被存儲，被跟蹤日勺數(shù)據(jù)出J是什么類型，存儲在不一樣H勺Entry下日勺

數(shù)據(jù)之間日勺關(guān)系。schema需要在主配置文獻slapd.conf中指定，以用來決定本

目錄中使用到的IobjectClasso管理員可以自己設(shè)計制定schema,一般包括屬性

定義(AttributeDeflnition)、類定義(ClassDeflnition)以及語法定義

(SyntaxDefinition)等部分。

創(chuàng)立好schema文獻后,將做好的Ischema文獻拷貝到Idap的IschemaE錄下。

然后修改slapd.conf文獻，將新W、Jschema文獻加入申明。

五、LDAP客戶端

Idapbrowser是openldap的一種客戶端管理工具，可以以便區(qū)I用來操作、查看

openldap中的I數(shù)據(jù)。首先安裝好叩enklap,然后雙擊Id即browser目錄中H勺

lbe.bat啟動。下面的登陸界面中，【Host】輸入openldap主機名或IP,點擊

[FetchDNs]則會自動匹配到openldap在slapd.conf配置W、J根域。然后勾上

[appendbaseDN],輸入口令，cn=managcr是openldap安裝時的管理員賬

號。然后點擊保留，回到連接界面點擊【conned。假如需要匿名登錄，則選

中【Anonymousbind］，需要闡明歐I是，匿名登錄只能查看數(shù)據(jù)。

5.1增長目錄屬性

假如需要為一種元素增長Attribute,按如下操作

CancelCancel

最終點擊Apply完畢Attribute增長。需要注意的是增長日勺屬性名稱一定是符合

Idap原則的，或者自定義增長的，否則將會增長失敗，如上圖增長屬性a則不

能成功。詳細(xì)Idap有哪些默認(rèn)日勺屬性值可以參

fl?%openldap_home%\schema\core.schema文獻。

5.2刪除目錄屬性

Rie國可yjewJHFHelp

雪AddAttribute...3Z?A畬

DeleteAttribute...

CEditAttribute...

AddEntry

9

EditEntry...Ctrl-E

DeleteEntry...

RenameEntry...

CopyEntry...

hflovoEntry...

CreateTemplate...

選中一種元素的IAttribute,使用刪除Attribute操作。

5.3修改目錄屬性

在目錄附屬性上雙擊即匕彈出修改W、J界面，輸入新的屬性值點擊［Apply】即

可完畢屬性的屬性值更改。

5.4增長目錄

先選中需要創(chuàng)立子目錄的該目錄，然后通過下面操作，其中objectclass是在

core.schema中定義區(qū)1都可以使用。

FilefEfliF]ViewLDIFHelp

【回一AddAttribute...藥畫回UJIJJ

口deDeleteAttribute...<Attribute

>objectclasso

EditAttribute...

rtacrrintinntk

Y◎L_

fAddEntry?organization

0T

EditEntry...ctri-Econtainer

9DeleteEntry...organizationalPerson

RenameEntry...organizationalUnit

CopyEntry...person

M.oveEntry...iarek

tcl-sales

CreateTemplate..

tekdepartmerit

tekou

5.5修改目錄

修改目錄是針對目錄W、J所有屬性進行修改，可以參照上面出J修改目錄屬性操

作，也可以通過下面日勺操作

□dc=root?Attribute|VJ

o口cn=Manager'telephoneNumber33

9口o=feitiandescription人

objectclassor

<?口o=ifd

：：cnne

Plcn=bingwang

9口o=hr

Dcn-narcc

ViewEntiyctri-v

Search...

SortTree

Refresh

EditAddAttribute...

DeleteEntry...

EditEntry...Ctrl-E

Ready.RenameEntry...

5.6刪除目錄

先選中要刪除出J目錄，然后進行下圖操作

口de=rootAttribute|Vai

o■口cn=ManagertelephoneNumber333

9口o=feitiandescription人3

objectclassorg

<?口o=ifd

cnnev

Plcn=bingwang

<p口o=hr

?cn-ne1

ViewEntiyctri-v

Search...

SortTree

Refrest)

EditAddAttribute...

DeleteEntry...

EditEntry...

Ready.RenameEntry...

六、應(yīng)用舉例

通過一種例子深入闡明Id叩日勺數(shù)據(jù)樹狀關(guān)系。同步展示了一種實體從屬多種機

構(gòu)日勺實現(xiàn)方式。

下面有一種示圖。請參照

口dc=root4Attribute|Value|

9口o=feitianrouifd

［：ou

9口o=ifdhr